《计算机网络概论》省公开课金奖全国赛课一等奖微课获奖课件

计算机网络概论刘兵制作1/50学习关键点：Ø

计算机网络安全基本概念和基础知识Ø

数据加密方法Ø

数字署名原理Ø

防火墙第7章计算机网络安全

2/507.1计算机网络安全概述7.2数据加密7.3数字署名7.4防火墙退出第7章计算机网络安全

3/507.1计算机网络安全概述7.1.1计算机网络安全基础知识

7.1.2计算机网络面临主要威胁

返回4/507.1.1计算机网络安全基础知识

1.计算机网络安全含义

计算机网络安全是指网络系统硬件、软件及其系统中数据受到保护，不会因偶然或者恶意原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中止。

5/50计算机网络安全又分为：（l）运行系统安全，即确保信息处理和传输系统安全。

（2）网络上系统信息安全。

（3）网络上信息传输安全。全。

（4）网络上信息内容安全。

6/502.网络安全特征（1）保密性：（2）完整性：（3）可用性：（4）可控性：7/503.网络安全策略（1）

网络用户安全责任（2）

系统管理员安全责任（3）

正确利用网络资源（4）

检测到安全问题时对策8/504.网络安全性办法

（1）网络安全办法

要实施一个完整网络安全系统，最少应该包含三类办法： 社会法律、法规以及企业规章制度和安全教育等外部软件环境。 技术方面办法，如网络防毒、信息加密、存放通信、授权、认证以及防火墙技术。

审计和管理办法，这方面办法同时也包含了技术与社会办法。

9/50（2）网络安全性方法为网络安全系统提供适当安全惯用方法有：修补系统漏洞、病毒检验、加密、执行身份判别、防火墙、捕捉闯进者、直接安全、空闲机器守则、废品处理守则、口令守则。

10/501.概述计算机网络受到安全威胁主要来自以下几个方面：

窃取网络信息。 中止网络信息。

篡改网络信息。

仿冒用户身份。7.1.2计算机网络面临主要威胁11/50计算机网络安全性威胁又分成两大类：一个是被动攻击一个是主动攻击。12/502.恶意程序

对计算机网络安全威胁较大有： 计算机病毒 计算机蠕虫 特洛伊木马 逻辑炸弹等。

13/507.2数据加密

7.2.1普通数据加密模型

7.2.2常规密钥密码体制

返回7.2.3公开密钥密码体制

14/50密码学是以研究秘密通信为目标，即研究对传输信息采取何种秘密变换以预防第三者对信息窃取.密码学分为密码编码学和密码分析学，其中密码编码学是密码体制设计学，而密码分析学则是在未知密钥情况下从密文推演出明文或密钥技术。

7.2.1普通数据加密模型

15/50一组含有参数k变换E。设已知信息m（又称之为明文），经过变换E，得到密文c，即c=Ek(m)这个过程称之为加密，参数k称之为密钥，变换E称之为加密算法。16/50 常规密钥密码体制就是指加密密钥与解密密钥是相同密码体制。这种加密系统又称为对称密钥系统。 常规密钥密码体制有各种加密方法，这里仅讲授三种方法：棋盘密码、替换密码和换位密码。

7.2.1普通数据加密模型

17/501.棋盘密码

其加密思想是：将26个英文字母排列在一个5×5方格里，其中i和j填在同一格这么26个英文字母中每一个字母都对应着由ξη所组成一个数，其中，ξ是该字母所在行标号、η表示是列标号。18/50

ηξ123451abcde2fgH2ijk3lmnop4qrstu5vwxyz19/502.替换密码

用一组密文字母来代替一组明文字母能够隐藏明文，但保持明文字母位置不变。20/503.换位密码

对明文字母次序按密钥规律对应排列组合后输出，然后形成密文。原理以下:密钥必须是一个不含重复字母单词或短语，加密时将明文按密钥长度截成若干行排在密钥下面（不足时候按次序补字母），按照密钥钥字母在英文字母表中先后次序给各列进行编号，然后按照编好次序按列输出明文即成密文。21/50

比如：加密密钥为COMPUTER，加密明文为：pleaseexecutethelatestscheme（1）密钥COMPUTER各字母按照英文26个字母中先后次序排列以下：1435872622/50（2）再把明文按那么按照密钥长度截成若干行排，以以下形式写出来： COMPUTER pleaseex ecutethe latestsc hemeabcd（3）按照密钥各字母先后次序按列输出明文即成密文。那么输出密文为：PELHEHSCEUTMLCAEATEEXECDETTBSESA23/50主要在于其密钥管理：（1）进行安全通信前需要以安全方式进行密钥交换。（2）密钥规模复杂。4.以上加密方法缺点

24/50从数学模型角度来说，要想从加密密钥不能推导出解密密钥，则加密算法E与解密算法D必须满足三个条件：①D(E(P))=P已知E，不能由E=>D③

使用“选择明文”不能攻破E。

7.2.3公开密钥密码体制

25/50公开密钥算法特点以下：（1）发送者用加密密钥（或称公开密钥）PK对明文X加密后，在接收者用解密密钥（或称秘密密钥）SK解密，即可恢复出明文，或写为： DSK（EPK（X））

X解密密钥是接收者专用秘密密钥，对其它人都保密。26/50（2）加密密钥是公开，但不能用它来解密，即DPK（EPK（X））≠X（3）在计算机上能够轻易地产生成正确PK和SK。（4）从已知PK实际上不可能推导出SK，即从PK到SK是“计算上不可能”。且加密和解密算法都是公开。

27/5028/507.3数字署名

数字署名(DigitalSignature)是指用户用自己私钥对原始数据哈希摘要进行加密所得数据。信息接收者使用信息发送者公钥对附在原始信息后数字署名进行解密后取得哈希摘要，并经过与自己用收到原始数据产生哈希摘要对照，便可确信原始信息是否被篡改。

29/507.3.1数字署名概述

署名表达了以下几个方面确保：（1）署名是可信。（2）署名是不可伪造。（3）署名不可重用。（4）署名后文件是不可变。（4）署名是不可抵赖。30/507.3.1数字署名概述

为使数字署名能代替传统署名，必须确保以下三个条件：（1）接收者能够核实发送者对报文署名；（2）发送者事后不能抵赖对报文署名；（3）接收者不能伪造对报文署名。31/507.3.2数字署名实现

32/5033/507.4防火墙

7.4.1什么是防火墙

防火墙技术就是一个保护计算机网络安全技术性办法，是在内部网络和外部网络之间实现控制策略系统，主要是为了用来保护内部网络不易受到来自Internet侵害。34/5035/50防火墙主要功效以下：

（1）过滤不安全服务和非法用户，禁止未授权用户访问受保护网络。（2）控制对特殊站点访问。（3）提供监视Internet安全和预警方便端点。36/50对于以下情况防火墙无能为力：（1）不能防范绕过防火墙攻击。（2）普通防火墙不能预防受到病毒感染软件或文件传输。（3）不能预防数据驱动式攻击。（4）难以防止来自内部攻击。37/507.4.2防火墙三种类型

1.网络级防火墙

由一个路由器或一台充当路由器计算机组成。 包过滤路由器对所接收每个数据包进行审查，方便确定其是否与某一条包过滤规则匹配。

38/502.应用级防火墙

应用级防火墙通常指运行代理（Proxy）服务器软件一台计算机主机。

3.电路级防火墙是一个含有特殊功效防火墙，它能够由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何附加包处理或过滤。

39/507.4.3防火墙体系结构

1.双重宿主主机体系结构

双重宿主主机体系结构是指在内部网络和外部网络接口处使用最少两个网络设备，这些网络设备能够是路由器或普通计算机，其中一个连接内部网络（称为内部分组过滤器），另一个连接外部网络（称为外部分组过滤器），它们之间由设备连接

40/5041/507.4.3防火墙体系结构

2.主机过滤体系结构这种结构由硬件和软件共同完成，硬件主要是指路由器，软件主要是指过滤器，它们共同完成外界计算机访问内部网络时从IP地址或域名上限制，也能够指定或限制内部网络访问Internet。42/507.4.3防火墙体系结构

3.子网过滤体系结构43/507.4.4包过滤技术

包过滤（PacketFilter）是在网络层中对数据包实施有选择经过。依据系统内事先设定过滤逻辑，检验数据流中每个数据包后，依据数据包源地址、目标地址、TCP/UDP源端口号、TCP/UDP目标端口号以及数据包头中各种标志位等原因来确定是否允许数据包经过，其关键是安全策略即过滤算法设计。

44/501.包过滤是怎样工作包过滤技术能够允许或不允许一些包在网络上进行传递，其依据以下判据：（1）将包目标地址作为判据；（2）将包源地址作为判据；（3）将包传送协议作为判据。

45/502.包过滤优缺点（1）包过滤优点仅用一个放置在主要位置上包过滤路由器就可保护整个网络。假如内部网络中站点与Internet网络之间只有一台路由器，那么不论内部网络规模有多大，只要在这台路由器上设置适当包过滤，内部网络中站点就可取得很好网络安全保护。

46/50（2）包过滤缺点①

在机器中配置包过滤规则比较困难；②

对系统中包过滤规则配置进行测试也较麻烦